« 金融庁他 内部統制報告制度関係 | Main | 内閣官房 個人情報保護WG(第4回) 情報連携基盤技術の骨格案, 個人情報保護方策について要綱に盛り込むべき事項(案), 第三者機関の命令・立入検査権限と主務大臣の命令・立入検査権限 »

2011.04.02

経済産業省 確定 クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表~クラウドサービスの安全・安心な利用に向けて~ <=うーん。。。

 こんにちは、丸山満彦です。経済産業省が「クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表~クラウドサービスの安全・安心な利用に向けて~」を公表しています。
 ISOにしようということかと思います。

 内容ですが、、、
 
 うーん。。。

 
■経済産業省  

・2011.04.01 クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表~クラウドサービスの安全・安心な利用に向けて~

 ・ クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表~クラウドサービスの安全・安心な利用に向けて~
 ・ クラウドサービス利用のための情報セキュリティマネジメントガイドラインについて

 ・ クラウドセキュリティガイドライン1
 ・ クラウドセキュリティガイドライン2
 ・ クラウドセキュリティガイドライン3
 ・ クラウドセキュリティガイドライン4
 ・ クラウドセキュリティガイドライン5

 クラウドセキュリティガイドライン1に次の記載があるのですが。。。

=====
0.2.3 クラウド利用者がセキュリティ要求事項を確立する方法
 JIS Q 27002(実践のための規範)序文0.2.3 によれば,組織が組織自体のセキュリティ要求事項を導出する方法の一つに,以下を挙げている。
 a) 一つには,組織全体における事業戦略及び目的を考慮して,組織に対するリスクアセスメントを実施することによって得られるものである。リスクアセスメントによって資産に対する脅威を特定し,事故に対するぜい弱性及び事故の可能性を評価し,潜在的な影響を推定する。
 前述のとおり,クラウドサービスを利用して,組織事業の基礎を成す情報の多くを保存し又は処理する組織は,資産の多くをクラウド事業者に依拠している。したがって,上記a)の方法によって組織自体のセキュリティ要求事項を導出しようとすれば,組織内の資産だけでなく,クラウド事業者内のクラウドサービスの提供にかかわる「資産に対する脅威を特定し,事故に対するぜい弱性及び事故の可能性を評価し,潜在的な影響を推定」することになる。
 しかし,クラウド事業者はクラウド利用者とは独立した組織である。クラウドサービスの提供にかかわる資産に対する脅威,ぜい弱性及び事故の可能性の評価に資するような,何らかの情報を開示するかどうかは,専らクラウド事業者自らの事業判断にゆだねられている。
 したがって,クラウド利用者がセキュリティ要求事項を確立するには,クラウド利用者自らが行うリスクアセスメントに必要な情報を指定して,その情報を開示するよう,クラウド事業者に対して協力を要請することが望まれる。
=====

 ちょっと、本質を理解していないような気が。。。

 単なるアウトソーシングと同じじゃないの???みたいな。。。

 これはどうするかなぁ。。。

■電子政府
・2011.04.01 「クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(案)」に対する意見募集の結果について

 ・・結果概要
 ・・別紙

|

« 金融庁他 内部統制報告制度関係 | Main | 内閣官房 個人情報保護WG(第4回) 情報連携基盤技術の骨格案, 個人情報保護方策について要綱に盛り込むべき事項(案), 第三者機関の命令・立入検査権限と主務大臣の命令・立入検査権限 »

Comments

丸山 様

夏井です。

利用者側からベンダ側に対して利用者側のポリシーを遵守するように求めることが可能だと(ほんの少しでも)考えているとすれば,その1点だけで既に荒唐無稽ですね。

パブリッククラウド環境においては,利用者側では「何もできない(=セキュリティマネジメントの主体にはなり得ない)」という当たり前のことを前提にすると,そもそもガイドラインを策定することが無意味または不可能なんです。

これらのことは,ベンダ側の立場にたってものごとを考えてみれば,あまりにも当然過ぎて全く議論の余地のないことです。

Posted by: 夏井高人 | 2011.04.02 12:54

夏井先生、コメントありがとうございます。

困ったことなんです。。。そしてパブリック・クラウドサービスを利用する場合のリスクというのは、セキュリティもそうですが、それ以外にも大きな論点があるので、経済産業省としては、セキュリティ以外のリスクにももっと焦点を当てるべきなんです。

困ったなぁ。。。

Posted by: 丸山満彦 | 2011.04.02 16:33

丸山 様

夏井です。

「それ以外にも大きな論点」があることは,私のサイバー法ブログで何度も口すっぱく言ってきましたよね。ブログ全体で4100以上の記事があり,クラウド関連記事の数だけでもかなり多数あるので全部読むのは大変かもしれませんが,主要な論点はほぼすべて網羅したと思っています。もう既に重大な社会問題となっていますね。

でも,著名な先生方は,いずれも否定的なご意見でした。私見に賛成の先生は本当にごく少数でした。丸山様は,そのことをよくご存知のはずです。

深く考えることもなく無条件でパブリッククラウドを肯定してきた人々には責任をとって一切の公職から身をひいてもらいたいです。悪影響が大きすぎます。

ちなみに,IPAのクラウドセキュリティ関連の報告書についても酷評し,全部最初から書き直せという意見を明らかにしてきました。今回の経産省の文書と同じで,全く何もわかっていない人々が書くと,こういう文書になります。

責任ある立場の人間が無知・無能であることは,社会的な意味で「罪」です。

Posted by: 夏井高人 | 2011.04.02 18:22

夏井先生、コメントありがとうございます。

ISO/IECに持っていくという話もあるようです。。。
うーん。

Posted by: 丸山満彦 | 2011.04.03 14:18

丸山 様

夏井です。

私は,誰がISO/IECに持って行こうとしているのかを知っています。政府の外にいても,その手の情報はちゃんと伝わってくるものです。

しかし,もういい加減こういうことはやめにしましょう。

ちなみに,問題のある認証は他にもいくらでもあります。

例えば,パブリッククラウドにおけるポリシーの衝突のことを口にすると,必ず,「コモンクライテリアがあるから大丈夫」と胸をはって断言する人がいます。

しかし,コモンクライテリア認証は単に無意味だというだけではなく,ひどく欺瞞的であり悪質です。理論的には,解決不可能な自己矛盾が含まれています。このこともサイバー法ブログで何度も書いてきたことです。

私は,「コモンクライテリアがあるから大丈夫」と断言する人については,嘘つきであるか馬鹿であるかのどちらかだと判断しています。もしそうでないとしても狡猾過ぎる。いざとなると,「***の部分しか保障していません」と言って逃げることができることを知っておりながら,そのことを事前に正確に説明しようとしません。もしきちんと説明を受けていれば,認証を受ける意味など全くないということを(馬鹿でない限り)誰でも理解することができるでしょう。

ボロボロに老朽化した原発施設なのに,書類の体裁さえ整えられていれば「運転続行して大丈夫」とのお墨付きを得ることができますが,そのお墨付きを信じてしまった人々と同じようなものです。その結果どういうことになるかについては,現時点では,もはや誰の目にも明らかだと思います。

Posted by: 夏井高人 | 2011.04.03 17:49

夏井先生、コメントありがとうございます。
 日本が出さないと他の国が出すから、日本がイニシアティブをとってやるんだ!ということかもしれませんが、そうなると、よしあしの議論ではなく、国際政治の話だと思うんですね。
 それを、そういう素質がない人たちがするのはダメだろうと。。。
 そして、内容があるならまだしも、その内容もいまいちとなると(ここのメンバーの能力がないというよりも、必要な能力を集めることができない事務局側の問題かと。。。)はてさて、どうしたものかと。。。

 コモンクライテリアについても、結局政治に負けているんですよ。。。日本は最初反対していなかったっけ。。。

Posted by: 丸山満彦 | 2011.04.06 08:49

丸山 様

夏井です。

政治というよりも経済ですね。政治は経済的利益を実現するための手法の一つに過ぎません。所詮踊らされているんです。

結局,どこか著名な巨大パブリッククラウドが現実に破綻し,コモンクライテリアその他の不完全な認証制度が全く何の役にもたたないということが実証されるまでは,「裸の王様」現象みたいなものが続くのでしょうね。みんな内心では「もしかすると・・・」と思っているのに,口に出して言うことができない・・・というわけです。

原発と同じです。いくら警告してみても,現実に重大事故が起きるまではみんな無視されてしまいます。

だからこそ,私は厳罰主義に走ってしまうわけですよ。江戸時代の「市中引き回しの上,獄門晒し首」を復活しろと言っても現在の法体制の下では憲法違反になってしまうので無理ですが,少なくとも絶対終身刑と全財産没収刑くらいは認めてもよいのじゃないでしょうか?

Posted by: 夏井高人 | 2011.04.06 17:56

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 経済産業省 確定 クラウドサービス利用のための情報セキュリティマネジメントガイドラインの公表~クラウドサービスの安全・安心な利用に向けて~ <=うーん。。。:

« 金融庁他 内部統制報告制度関係 | Main | 内閣官房 個人情報保護WG(第4回) 情報連携基盤技術の骨格案, 個人情報保護方策について要綱に盛り込むべき事項(案), 第三者機関の命令・立入検査権限と主務大臣の命令・立入検査権限 »